L'APT russo "Winter Vivern" prende di mira i governi e le forze armate europee

Il gruppo minaccioso allineato alla Russia noto come Viverna invernale è stato scoperto mentre sfruttava vulnerabilità di cross-site scripting (XSS) nei server webmail Roundcube in tutta Europa in ottobre - e ora le sue vittime stanno venendo alla luce.

Il gruppo ha preso di mira principalmente le infrastrutture governative, militari e nazionali in Georgia, Polonia e Ucraina, secondo il rapporto Insikt Group di Recorded Future sulla campagna pubblicato oggi.

Il rapporto ha inoltre evidenziato ulteriori obiettivi, tra cui l’Ambasciata dell’Iran a Mosca, l’Ambasciata dell’Iran nei Paesi Bassi e l’Ambasciata della Georgia in Svezia.

Utilizzando sofisticate tecniche di ingegneria sociale, l'APT (che Insikt chiama TAG-70 e che è anche noto come TA473 e UAC-0114) ha utilizzato un Sfruttamento zero-day di Roundcube per ottenere l'accesso non autorizzato a server di posta mirati in almeno 80 organizzazioni separate, che vanno dai settori dei trasporti e dell'istruzione alle organizzazioni di ricerca chimica e biologica.

Si ritiene che la campagna sia stata utilizzata per raccogliere informazioni sugli affari politici e militari europei, potenzialmente per ottenere vantaggi strategici o minare la sicurezza e le alleanze europee, secondo Insikt.

Il gruppo è sospettato di condurre campagne di cyberspionaggio al servizio degli interessi della Bielorussia e della Russia ed è attivo almeno da dicembre 2020.

Le motivazioni geopolitiche di Winter Vivern per lo spionaggio informatico

La campagna di ottobre era collegata alla precedente attività di TAG-70 contro i server di posta del governo uzbeko, segnalata da Insikt Group nel febbraio 2023.

Una motivazione ovvia per l’attacco all’Ucraina è il conflitto con la Russia.

"Nel contesto della guerra in corso in Ucraina, i server di posta elettronica compromessi possono esporre informazioni sensibili riguardanti lo sforzo e la pianificazione bellica dell'Ucraina, le sue relazioni e i negoziati con i paesi partner mentre cerca ulteriore assistenza militare ed economica, [che] espongono terze parti che collaborano con il governo ucraino in privato e rivelare le spaccature all’interno della coalizione che sostiene l’Ucraina”, osserva il rapporto Insikt.

Nel frattempo, l’attenzione sulle ambasciate iraniane in Russia e nei Paesi Bassi potrebbe essere legata al motivo di valutare gli attuali impegni diplomatici e le posizioni di politica estera dell’Iran, in particolare considerando il coinvolgimento dell’Iran nel sostenere la Russia nel conflitto in Ucraina.

Allo stesso modo, lo spionaggio contro l’ambasciata georgiana in Svezia e il Ministero della Difesa georgiano probabilmente deriva da obiettivi comparabili guidati dalla politica estera, soprattutto perché la Georgia ha rilanciato il suo perseguimento di adesione all’Unione Europea e alla NATO in seguito all’incursione della Russia in Ucraina all’inizio del paese. 2022.

Altri obiettivi degni di nota includevano organizzazioni coinvolte nei settori della logistica e dei trasporti, il che è significativo in base al contesto della guerra in Ucraina, poiché solide reti logistiche si sono rivelate cruciali per entrambe le parti nel mantenere la loro capacità di combattere.

La difesa dallo spionaggio informatico è difficile

Le campagne di cyber-spionaggio si sono intensificate: all’inizio di questo mese, un sofisticato APT russo lanciato una campagna di attacchi mirati PowerShell contro l’esercito ucraino, mentre un’altra APT russa, Turla, ha preso di mira le ONG polacche utilizzando un nuovo malware backdoor.

Anche l’Ucraina lo ha fatto ha lanciato i propri attacchi informatici contro la Russia, che a gennaio ha preso di mira i server del fornitore di servizi Internet di Mosca M9 Telecom, come ritorsione per la violazione, sostenuta dalla Russia, dell'operatore di telefonia mobile Kyivstar.

Ma il rapporto del gruppo Insikt sottolinea che difendersi da attacchi come questi può essere difficile, soprattutto nel caso di sfruttamento delle vulnerabilità zero-day.

Tuttavia, le organizzazioni possono mitigare l’impatto della compromissione crittografando le e-mail e considerando forme alternative di comunicazioni sicure per la trasmissione di informazioni particolarmente sensibili.

È inoltre fondamentale garantire che tutti i server e i software siano dotati di patch e mantenuti aggiornati e che gli utenti debbano aprire solo le e-mail provenienti da contatti fidati.

Le organizzazioni dovrebbero inoltre limitare la quantità di informazioni sensibili archiviate sui server di posta praticando una buona igiene e riducendo la conservazione dei dati e limitare le informazioni e le conversazioni sensibili a sistemi high-side più sicuri quando possibile.

Il rapporto rileva inoltre che la divulgazione responsabile delle vulnerabilità, in particolare di quelle sfruttate dagli attori APT come TAG-70, è cruciale per diversi motivi.

Un analista di threat intelligence presso Insikt Group di Recorded Future ha spiegato via e-mail che questo approccio garantisce che le vulnerabilità vengano riparate e risolte rapidamente prima che altri le scoprano e ne abusino e consente il contenimento degli exploit da parte di aggressori sofisticati, prevenendo danni più ampi e rapidi.

“In definitiva, questo approccio affronta i rischi immediati e incoraggia miglioramenti a lungo termine nelle pratiche globali di sicurezza informatica”, ha spiegato l’analista.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military